Windows Defender Advanced Threat Protection: la sicurezza di Microsoft per le imprese

Security managementSicurezzaVirus
1 2 Non ci sono commenti

Sulla base di Windows Defender, Microsoft ha sviluppato un servizio cloud per proteggere i dispositivi aziendali dalle minacce evolute alla sicurezza

Da tempo Microsoft punta sul suo Windows Defender come modulo anti-malware in grado di proteggere i computer, in particolare quelli che ora hanno Windows 10, contro i pericoli in rete. Il tool però non è stato sviluppato in modo specifico per le imprese, motivo per cui ora la casa di Redmond ha lanciato Windows Defender Advanced Threat Protection, un nuovo servizio che prende le mosse dalle funzioni di Windows Defender ma ve ne associa altre che mirano a intervenire al verificarsi di una falla nella sicurezza di rete.

Il principio sulla base del quale è stato sviluppato Windows Defender Advanced Threat Protection è che anche con le migliori tecnologie di protezione una falla può comunque verificarsi grazie ad attacchi zero-day per vulnerabilità non ancora note o ad attività di social engineering. In questi casi un’azienda spesso impiega settimane per capire di essere sotto attacco e per rimediare all’attacco stesso. Il nuovo tool Microsoft combina le funzioni client di sicurezza di Windows 10 con un servizio cloud per limitare i danni in queste situazioni.

Windows Defender Advanced Threat Protection
La console web di Windows Defender Advanced Threat Protection

Il primo compito di Windows Defender Advanced Threat Protection è evidenziare che un attacco è in corso. Questo lo fa soprattutto esaminando i dati raccolti in generale da Microsoft attraverso i suoi servizi cloud e dal comportamento dei dispositivi Windows (oltre un miliardo secondo Microsoft). Questi dati vengono incrociati con l’analisi di URL e file sospetti e con i servizi cloud di security analytics di Microsoft.

Una volta evidenziato un attacco il servizio cerca di valutare in che modo e in che misura esso ha interessato la rete e i dispositivi dell’azienda utente. Questo avviene anche valutando lo stato dei dispositivi e le loro attività nel corso degli ultimi sei mesi, fornendo poi agli amministratori di sistema gli strumenti per “investigare” nella loro rete senza dover consultare interminabili file di log. Uno specifico servizio cloud può esaminare URL e file sospetti perché siano esaminati in maniera sicura da macchine virtuali e non da “veri” computer dell’azienda.

Al momento Windows Defender Advanced Threat Protection non ha funzioni di “remediation” degli attacchi che colpiscono i singoli dispositivi, ma è previsto che queste funzioni siano sviluppate in futuro. Il servizio è già attivo: è stato usato in versione preliminare da Microsoft stessa e da alcuni suoi clienti enterprise, per un totale dichiarato di 500 mila endpoint protetti.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore